Как отключить чтение и запись для съёмных носителей в Windows

Важно: изменения, описанные ниже, влияют на всех пользователей компьютера и требуют прав администратора. На домашней версии Windows некоторые элементы локальной политики могут отсутствовать — используйте правки реестра или сторонние инструменты.

Кому это нужно и что это даёт

Если вы храните конфиденциальные файлы на сменных носителях (флешки, внешние HDD/SSD, карты памяти, мобильные устройства), вы можете захотеть запретить другим пользователям просматривать (чтение) или изменять (запись) эти файлы. Отключение доступа снижает риск утечек, случайных изменений и распространения вредоносных программ через переносные накопители.

Определения (в одну строку):

• Чтение — возможность просматривать и копировать файлы с носителя.
• Запись — возможность создавать или изменять файлы на носителе.

Обзор подходов

• Редактор локальной групповой политики (LGPE) — удобен в корпоративных и Pro/Enterprise сборках.
• Редактор реестра — работает в любых редакциях Windows с учётом прав администратора.
• Шифрование (BitLocker To Go) — ограничивает доступ без пароля, дополняет запреты чтения/записи.
• Физические меры — отключение портов USB, использование USB-меток с аппаратной блокировкой.

Как отключить доступ на чтение для съёмных носителей

Чтение позволяет другим пользователям просматривать содержимое носителя. Ниже — два рабочих метода.

Через редактор локальной групповой политики

1. Откройте «Редактор локальной групповой политики» (найдите в меню Пуск).
2. В контекстном меню результата выберите «Запустить от имени администратора».
3. Перейдите: Конфигурация компьютера > Административные шаблоны > Система > Доступ к съёмным носителям.
4. В правой части найдите параметр «Съемные диски: запретить доступ на чтение».

5. Откройте параметр двойным щелчком и установите «Включено» (Enabled), чтобы запретить чтение.
6. Нажмите «Применить», затем «ОК».

Можно аналогично настроить параметры для CD и DVD, для флоппи, ленточных приводов, пользовательских классов устройств и WPD-устройств (Windows Portable Devices).

Через редактор реестра (Registry Editor)

Резервная копия реестра — обязательна: перед изменением экспортируйте ветку Windows или весь реестр.

1. Откройте «Редактор реестра» (Regedit) от администратора.
2. Скопируйте и вставьте в адресную строку Regedit и нажмите Enter:

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows

3. Щёлкните правой кнопкой по ключу Windows, выберите «Создать > Раздел (Key)» и назовите его RemovableStorageDevices.
4. Внутри RemovableStorageDevices создайте новый раздел с именем {53f5630d-b6bf-11d0-94f2-00a0c91efb8b}.
5. В правой части выберите «Создать > DWORD (32-bit)», присвойте имя Deny_Read.

6. Дважды щёлкните Deny_Read и установите «Значение» (Value data) = 1, чтобы запретить чтение. Установите 0 для отмены.

Если нужно оперировать с WPD-устройствами (смартфоны и плееры), создайте раздел {6AC27878-A6FA-4155-BA85-F98F491D4F33} внутри RemovableStorageDevices и повторите шаги с значением Deny_Read.

Как отключить доступ на запись для съёмных носителей

Запрет записи препятствует созданию и правке файлов на носителях. Процедуры схожи с отключением чтения.

Через редактор локальной групповой политики

1. Откройте «Редактор локальной групповой политики» от имени администратора.
2. Перейдите: Конфигурация компьютера > Административные шаблоны > Система > Доступ к съёмным носителям.
3. Найдите параметр «Съемные диски: запретить доступ на запись».
4. Откройте параметр и установите «Включено» (Enabled), чтобы запретить запись. Нажмите «Применить» и «ОК».

Также можно продублировать это для CD/DVD, флоппи, лент и WPD.

Через редактор реестра

1. Откройте Regedit от администратора и перейдите в ветку:

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows

2. Если раздела RemovableStorageDevices нет — создайте его. Внутри создайте {53f5630d-b6bf-11d0-94f2-00a0c91efb8b}.
3. В правой части создайте DWORD (32-bit) с именем Deny_Write.

4. Установите значение Deny_Write = 1, чтобы запретить запись. Установите 0 для отмены.

Для WPD-устройств создайте раздел {6AC27878-A6FA-4155-BA85-F98F491D4F33} и добавьте Deny_Write со значением 1.

Как запретить одновременно чтение и запись для всех съёмных носителей

Если нужно полностью блокировать все внешние устройства, используйте общий параметр.

Через редактор локальной групповой политики

1. Откройте «Редактор локальной групповой политики».
2. Перейдите: Конфигурация компьютера > Административные шаблоны > Система > Доступ к съёмным носителям.
3. Найдите «Все классы съёмных носителей: запретить весь доступ».
4. Откройте и установите «Включено» (Enabled). Нажмите «Применить» и «ОК».

Через редактор реестра

1. Откройте Regedit и перейдите:

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\RemovableStorageDevices

2. В правой части создайте DWORD (32-bit) с именем Deny_All.

3. Установите значение Deny_All = 1, чтобы запретить чтение и запись. Установите 0 для отмены.

Резервное копирование и восстановление реестра — короткая методика

1. Запустите Regedit.
2. Выделите ключ Windows или RemovableStorageDevices.
3. Файл > Экспорт — сохраните .reg-файл в безопасное место.
4. При ошибке двойной клик по .reg импортирует сохранённые значения.

Совет: храните резервную копию на недоступном внешнем носителе или в зашифрованном контейнере.

Когда эти методы не сработают

• На уровне BIOS/UEFI включены опции, позволяющие обходить ОС (например, загрузка с USB).
• Пользователь имеет физический доступ к диску и может подключить его к другому компьютеру.
• Уязвимости в драйверах или вредоносный код, работающий под системными привилегиями, могут обойти запреты.

Если нужен гарантированный контроль доступа даже при физическом доступе — примените аппаратное шифрование или BitLocker To Go с паролем.

Альтернативные подходы

• BitLocker To Go: шифрует носитель; без пароля данные недоступны.
• Управление доступом на уровне файловой системы (NTFS) — ограничено для съёмных носителей, часто не сохраняется при смене компьютера.
• Аппаратные USB-ключи с управлением политиками и белыми списками устройств.
• Отключение USB-портов в BIOS/UEFI или использование блокаторов портов.

Ментальные модели и эвристики принятия решения

• Риск × Доступность: чем выше риск утечки, тем жёстче политика.
• «Отдельная зона»: храните секреты на носителях, используемых только на выделенных контролируемых машинах.
• Слой защиты: политика реестра/групп + шифрование + физический контроль = надёжнее любого отдельного метода.

Стандартизованный план действий (Playbook) для администратора

1. Оцените необходимость блокировки и список поддерживаемых устройств.
2. Сделайте резервную копию текущего реестра и экспорт GPO, если есть.
3. На тестовой машине примените выбранные параметры (LGPE или Regedit).
4. Выполните тесты (см. ниже) на разных пользователях и устройствах.
5. Разверните на рабочие станции пачкой (GPO для домена) или вручную для отдельных ПК.
6. Документируйте изменения и порядок отката.

План отката и инцидентный runbook

1. Если пользователи не могут читать/писать легитимно нужные данные — немедленно примените экспорт .reg с резерва.
2. Если проблема системная — восстановите из резервной копии реестра: Файл > Импорт в Regedit.
3. Проведите анализ: какие ключи были изменены, какие устройства пострадали.
4. При подозрении на компрометацию системы — отключите компьютер от сети и выполните полное сканирование.

Критерии приёмки

• На тестовой машине неопределённый стандартный пользователь не может читать/писать файлы на подключенной флешке.
• Администратор может отменить запрет и восстановить доступ через Regedit или GPO.
• Журнал событий Windows фиксирует подключение устройства (если включён) и отсутствие операций записи/чтения.

Тестовые сценарии и критерии проверки

1. Подключить флешку и попытаться открыть файл — операция чтения должна быть запрещена при включённом Deny_Read.
2. Попытаться создать файл на носителе — операция должна быть запрещена при включённом Deny_Write.
3. Подключить WPD-устройство (телефон) — проверить поведение при специально созданных ключах для WPD.
4. Проверить восстановление: импорт резервной копии реестра и проверка доступности операций.

Роль — чеклисты

Роль: Системный администратор

• Сделать резервную копию реестра и GPO.
• Применить правила на тестовом ПК.
• Провести тесты чтения/записи.
• Автоматизировать развертывание через GPO (в доменной среде).

Роль: Ответственный за ИБ

• Оценить влияние на бизнес-процессы.
• При необходимости — согласовать исключения.
• Контролировать журналы и уведомления о подключении устройств.

Роль: Пользователь конечной станции

• Сообщать об ошибках при работе с легитимными устройствами.
• Принимать инструкции по использованию защищённых носителей.

Безопасность и усиление защиты

• Комбинируйте запреты на уровне ОС с шифрованием (BitLocker To Go).
• Ограничьте список доверенных USB-устройств через белые списки драйверов или корпоративные MDM решения.
• Обновляйте драйверы и ОС, чтобы закрывать уязвимости, позволяющие обойти ограничения.

Приватность и соответствие требованиям (например, GDPR)

Отключение доступа к съёмным носителям помогает предотвратить утечки персональных данных. Это может быть частью технических мер по защите персональных данных. Документируйте изменения и храните журналы, если требуется соответствие нормативам.

Совместимость и примечания по версиям Windows

• Редактор локальной групповой политики доступен в Pro, Enterprise и Education. На Windows Home используйте правки реестра.
• В доменных средах предпочтительнее применять групповые политики через контроллер домена.
• Всегда тестируйте на контрольной группе машин перед массовым развёртыванием.

Частые ошибки и как их избежать

• Забыт экспорт реестра — всегда делайте резервную копию.
• Изменение неверного ключа — внимательно проверяйте путь и имена разделов.
• Не учтены исключения для легитимных устройств — заранее спланируйте список исключений.

Шаблон проверки перед развертыванием (таблица)

• Наличие резервной копии реестра: Да/Нет
• Тестовая машина: Номер/Имя
• Проверка Deny_Read: успешна/неуспешна
• Проверка Deny_Write: успешна/неуспешна
• Журналы подключений: собраны/не собраны

Короткое объявление для команды (100–200 слов)

Мы вводим техническую меру по ограничению доступа к съёмным носителям на рабочих станциях. Это поможет снизить риск утечек данных и распространения вредоносных программ через внешние диски. Изменения будут применены сначала на тестовых машинах, затем по согласованию в группе безопасности — в домене через GPO, на автономных ПК через реестр. Если вам нужны исключения по бизнес-необходимости, напишите запрос с обоснованием. Перед началом работ будет создана резервная копия реестра и документирован план отката.

1‑строчный глоссарий

• LGPE — локальный редактор групповой политики.
• WPD — Windows Portable Devices (портативные устройства Windows).
• Deny_Read/Deny_Write/Deny_All — ключи реестра, управляющие доступом.

Заключение и краткое резюме

Отключение чтения и записи на съёмных носителях — эффективный способ снизить риск несанкционированного доступа и изменений файлов при сохранении управляющей гибкости. Для корпоративной среды предпочтительнее использовать GPO. Для одиночных машин и Home-версий — изменять реестр. Всегда сохраняйте резервные копии реестра, тестируйте изменения и документируйте процесс.

Коротко:

• Используйте LGPE, если она доступна.
• В противном случае применяйте изменения в реестре.
• Совмещайте с шифрованием (BitLocker To Go) для надёжной защиты.